Negli ultimi mesi è emersa una nuova ondata di attacchi informatici condotti da hacker collegati alla Cina, mirati a vulnerabilità critiche in SAP NetWeaver e Microsoft SQL Server. Questi attacchi, monitorati sotto il nome Earth Lamia, hanno colpito organizzazioni in India, Brasile e in diversi paesi del Sud-Est asiatico come Indonesia, Malesia, Filippine, Thailandia e Vietnam, con attività riscontrate già dal 2023.

Focalizzazione sulle vulnerabilità e tecniche di attacco

Il gruppo Earth Lamia si concentra principalmente su vulnerabilità di tipo SQL injection nelle applicazioni web, sfruttando queste falle per ottenere accesso ai server SQL delle vittime. Oltre a ciò, gli attaccanti si avvalgono di una varietà di vulnerabilità note per compromettere server esposti su Internet. Tra le principali exploitate spiccano CVE-2025-31324 (SAP NetWeaver), CVE-2017-9805 (Apache Struts2), CVE-2021-22205 (GitLab), CVE-2024-9047 (WordPress File Upload), CVE-2024-27198 e CVE-2024-27199 (JetBrains TeamCity), CVE-2024-51378 e CVE-2024-51567 (CyberPanel), e CVE-2024-56145 (Craft CMS).

Strumenti e tecniche di post-exploitation

Le campagne di Earth Lamia sono sofisticate e prevedono l'utilizzo di strumenti post-exploitation come Cobalt Strike e Supershell, oltre a tunnel proxy attraverso software come Rakshasa e Stowaway. Per mantenere la persistenza e l’anonimato nei sistemi compromessi, vengono utilizzati strumenti di escalation dei privilegi come GodPotato e JuicyPotato, oltre a utility di network scanning come Fscan e Kscan. Gli hacker impiegano anche strumenti legittimi, come wevtutil.exe, per cancellare i log degli eventi di Windows e coprire le proprie tracce.

Distribuzione di ransomware e backdoor personalizzate

Alcuni attacchi rivolti a enti indiani hanno incluso il tentativo di distribuire ransomware Mimic, sebbene in molti casi l’esecuzione sia fallita o i file dannosi siano stati cancellati dagli stessi attaccanti dopo il rilevamento.

Un aspetto tecnico rilevante è che Earth Lamia ha sviluppato backdoor personalizzate come PULSEPACK, installate tramite DLL side-loading, una tecnica spesso associata ai gruppi di cyber-spionaggio cinesi. L’ultima variante di PULSEPACK, individuata a marzo 2025, mostra un’evoluzione, passando dalla comunicazione C2 via TCP a WebSocket, segnale di un malware in costante sviluppo.

Evoluzione della strategia e dei bersagli

Negli ultimi periodi si è osservato un cambio di bersaglio: se in passato le vittime erano soprattutto del settore finanziario, ora il gruppo punta anche su logistica, commercio online, aziende IT, università e enti governativi. Questo dimostra una strategia di attacco in continua evoluzione, con lo sviluppo di nuovi strumenti e backdoor personalizzate per massimizzare l’impatto e la resilienza degli attacchi.